我不确定解决这个问题的最佳方法,尽管可能存在几种解决方案(包括一些非常简单的“不用担心”的解决方案)。
我的 LAN 已完全隔离 WiFi 和有线子网,位于不同的 NIC 上。(例如,WiFi=10.10.0.0/16,有线=10.20.0.0/16)。路由器上的防火墙规则阻止所有到达 wifi 接口的流量传递到 LAN 或任何路由器 IP 本身 - 因此 WiFi 客户端只能访问 WAN,而不能访问其他任何内容。
但是 WiFi 子网还包括一个用于 AP 管理系统(webui、ssh)的 IP。我希望将其与不太可信的 WiFi 端完全隔离,方法是将 WiFi 客户端流量放在 VLAN 6 中,将往返于管理 IP 的流量放在 VLAN7 中。我希望 VLAN7 可以从 LAN 访问(理想情况下,可以通过类似于 LAN 交换机和基础设施服务的 LAN IP 访问,就像从 LAN 看到的一样),而不能从 VLAN6 访问。
我正在使用 pfSense 或它的近亲 opnsense,它们在这些领域的功能几乎相同。
我可以想象我会设置 VLAN,在 LAN 上定义虚拟 IP,并在一个或另一个接口上使用 1:1 NAT 将虚拟 IP 桥接到 WiFi 管理 IP。然后我会在 VLAN 接口上添加过滤规则,以确保只有从 LAN 到 AP 管理 IP 的数据包才允许进入 VLAN 7。(最后一部分我很满意,不需要帮助)
但我不太清楚路由器上的 VLAN/NAT 细节。我该怎么做?(即实际步骤)